REPÚBLICA BOLIVARIANA DE VENEZUELAINSTITUTO UNIVERSITARIO POLITÉCNICO

“SANTIAGO MARIÑO”ESCUELA DE INGENIERIA DE SISTEMAS

EXTENSIÓN MATURIN

Profesora: Bachiller:

Yakarina González Gamero Stefany

CI: 24.118.238

Auditoría informática dentro de una institución

La  auditoría es el proceso que efectúa un auditor al

examinar los estados financieros realizados por una

sociedad económica, con el propósito de emitir un

juicio y/o una opinión profesional sobre la realidad de

dichos estados financieros  y por la cual la describe en

un documento formal llamado Dictamen.

Se llama auditor/a o contralor/a, a la persona capacitada y

experimentada que se designa por una autoridad competente o por

una empresa de consultoría, para revisar, examinar y evaluar con

coherencia los resultados de la gestión administrativa y financiera

de una dependencia o entidad con el propósito de informar o

dictaminar acerca de ellas, realizando las observaciones y

recomendaciones pertinentes para mejorar su eficacia y eficiencia

en su desempeño.

¿CÓMO REALIZAR UNA AUDITORÍA INFORMÁTICA DENTRO DE UNA INSTITUCIÓN?

Se requieren varios pasos para realizar una auditoría, entre ellos tenemos los siguientes:

1. DEFINICIÓN DE ALCANCE Y OBJETIVOS

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso

entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las

excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no

van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del informe final.

Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a

los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que

las metas fijadas puedan ser cumplidas.

2. ESTUDIO INICIAL

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la

informática. El auditor debe conocer la organización, tener el conocimiento de quién ordena,

quién diseña y quién ejecuta.

Para realizar esto el auditor deberá fijarse en:

Organigrama: expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un

organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.

Departamentos: órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá

brevemente las funciones de cada uno de ellos.

Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se

cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario detectará,

por ejemplo, si algún empleado tiene dos jefes.

Flujos de Información:   Además de las corrientes verticales intradepartamentales, la estructura

organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas

extradepartamentales. Los flujos de información entre los grupos de una organización son necesarios para

su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.

Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los

Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que

bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones

operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán

a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes. 

Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben

considerar. La inadecuación del personal determina que el número de personas que realizan las mismas

funciones rara vez coincida con la estructura oficial de la organización.

3. ENTORNO OPERACIONAL

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a

desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes

extremos:

Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de

Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos

de ellos, así como el uso de los mismos estándares de trabajo.

Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la

configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e

intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de

las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión

de los equipos.

Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los

elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de

control local y remotas, periféricos de todo tipo, etc. El inventario de software debe contener todos los

productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o

desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables.

Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número,

situación y características principales de las líneas, así como de los accesos a la red pública de

comunicaciones.

4. DETERMINACIÓN DE RECURSOS DE LA AUDITORÍA INFORMÁTICA 

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y

materiales que han de emplearse en la auditoría.

Recursos humanos: La cantidad de recursos depende del volumen auditable. Las características y

perfiles del personal seleccionado depende de la materia auditable. Es igualmente señalable que la

auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de

probada experiencia multidisciplinaria.

Recursos materiales: Es muy importante su determinación, por cuanto la mayoría de ellos son

proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse

igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de

uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: recursos

materiales software y recursos materiales hardware.

5. ACTIVIDADES DE LA AUDITORÍA INFORMATICA

La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se

examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y

mayores recursos. Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez

todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más

rápidamente y con menor calidad.

6. INFORME FINAL

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el

exponente de su calidad.

Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que

son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de

apreciación en el auditor.

Estructura del informe final

El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se

incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación

de la jefatura, responsabilidad y puesto de trabajo que ostente.

Definición de objetivos y alcance de la auditoría.

Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más

exhaustivamente posible todos los temas objeto de la auditoría.

Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber:

-Situación actual - Tendencias

-Puntos débiles y amenazas - Recomendaciones y planes de acción

- Redacción posterior de la carta de introducción o presentación

7. CARTA DE INTRODUCCIÓN O PRESENTACIÓN DEL INFORME FINAL

La carta de introducción tiene especial importancia porque en ella ha de resumirse la

auditoría realizada. Se destina exclusivamente al responsable máximo de la

empresa, o a la persona concreta que encargo o contrato la auditoría.

Así como pueden existir tantas copias del informe final como solicite el cliente, la

auditoría no hará copias de la citada carta de Introducción.

La carta de introducción poseerá los siguientes atributos:

Tendrá como máximo 4 folios

Incluirá fecha, naturaleza, objetivos y alcance 

Cuantificará la importancia de las áreas analizadas.

Proporcionará una conclusión general, concretando las áreas de gran debilidad.

Presentará las debilidades en orden de importancia y gravedad.

En la carta de Introducción no se escribirán nunca recomendaciones.

¿POR QUÉ REALIZAR UNA AUDITORÍA INFORMÁTICA DENTRO DE UNA INSTITUCIÓN?

Se realiza para determinar fallas que ocasionen retrasos en las operaciones de la empresa, así

como vulnerabilidades y oportunidades de mejora en sus sistemas, ya que pérdidas de tiempo

y dinero se ven constantemente relacionadas con problemas con los sistemas. Y porque se

obtienen ciertos beneficios, que son:

Mejora la imagen pública.

Confianza en los usuarios sobre la seguridad y control de los servicios de las tecnologías de

información.

Optimiza las relaciones internas y del clima de trabajo.

Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

Genera un balance de los riesgos en tecnologías de información.

Realiza un control de la inversión en un entorno las tecnologías de información, a menudo

impredecible.

¿CUÁNDO REALIZAR UNA AUDITORÍA INFORMÁTICA DENTRO DE UNA INSTITUCIÓN?

La auditoría informática dentro de una institución se realiza, cuando:

1. Toma decisiones incorrectas

2. Se generan altos costos por errores cometidos.

3. Tiene un desfase de tecnología

4. Hay pérdidas de datos

5. Exista un valor del hardware, software y personal sobrevaluado o subvaluado.

6. Se evade la confidencialidad de la información.

7. Exista un posible fraude informático

Si uno o varios de estos síntomas están presentes en su empresa, debe considerar,

que es hora de realizar una Auditoría Informática.